1. Загальні положення
- Визначення рівня безпеки відповідно до вимог законодавства України (Закон "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про кібербезпеку").
- Визначення категорії інформації, яка обробляється (відкрита, конфіденційна, службова)
- Визначення методів та засобів захисту інформації
2. Вимоги до контролю доступу
- Реалізація механізмів автентифікації та авторизації:
- Використання двофакторної аутентифікації (2FA)
- Підтримка рольової моделі доступу (адміністратор, оператор, користувач)
- Ліміти на кількість невдалих спроб входу та блокування облікового запису
- Механізм реєстрації та управління користувачами:
- Обмеження доступу до окремих функцій відповідно до ролей
- Автоматичне відключення неактивних сесій
- Логування подій:
- Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних
- Механізм захисту логів від несанкціонованого доступу.
3. Вимоги до захисту даних
Шифрування конфіденційної інформації:
Уся чутлива інформація, яка передається між системами, захищена сучасними протоколами шифрування, що гарантує її недоступність для сторонніх осіб.
Безпечне зберігання паролів:
Паролі користувачів не зберігаються у відкритому вигляді — вони проходять обов’язкове хешування за допомогою безпечних алгоритмів, що унеможливлює їх зчитування навіть у разі витоку даних.
Захист критичних даних:
Для найбільш важливої інформації використовується надійне шифрування, що відповідає світовим вимогам безпеки.
Захищені канали зв’язку:
Для додаткового рівня захисту дані можуть передаватися через віртуальні приватні мережі (VPN).
4. Вимоги до кібербезпеки
- Виявлення та запобігання кіберзагрозам:
- Перевірка завантажуваних файлів на віруси та шкідливий код.
- Використання сертифікованих засобів захисту (сертифікати КСЗІ).
5. Вимоги до аудиту та звітності
- Автоматичний запис усіх критичних змін у системі
- Регулярний аналіз журналів безпеки
- Проведення щорічних аудитів безпеки (пентестинг, вразливості)